Datenschutz

EuGH äußert sich zu Dokumentationspflichten, Auskunftsanspruch und Schadensersatz – Ein Schritt vor, zwei zurück?

Auch fast fünf Jahre nach ihrer Anwendbarkeit sind noch viele Fragen zur Auslegung der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – DS-GVO) ungeklärt. Umso dringender ist eine Klärung dieser Fragen durch den Gerichtshof der Europäischen Union (EuGH), der dazu in letzter Zeit durch Vorlagen europäischer Gerichte immer mehr Gelegenheit bekommt. Drei am 4. Mai 2023 verkündete Entscheidungen des EuGH haben zu verschiedenen Themen etwas „Licht ins Dunkle“ gebracht, auch wenn keine der dem EuGH vorgelegten Rechtsfragen abschließend beantwortet erscheint und weitere Grundsatzverfahren mit Sicherheit folgen.

1. EuGH zu den Folgen einer Verletzung von DS-GVO Dokumentationspflichten

Für datenverarbeitende Unternehmen und Behörden erfreulich ist die Entscheidung in der Rechtssache C‑60/22, in der der EuGH klarstellt, dass eine Verletzung der Pflichten zur Dokumentation der Datenverarbeitung nicht die Rechtmäßigkeit der Datenverarbeitung als solche in Frage stellt. In dem zugrundeliegenden Fall hatte das Verwaltungsgericht (VG) Bedenken gegen die Praxis des Bundesamtes für Migration und Flüchtlinge, elektronische Akten über Geflüchtete an das Gericht zu übermitteln, obwohl diese Datenverarbeitung entgegen Art. 30 DS-GVO weder im Verarbeitungsverzeichnis der Behörde dokumentiert noch durch eine Vereinbarung über gemeinsame Verantwortlichkeit (i.S.v. Art. 26 DS-GVO) zwischen Behörde und Gericht unterlegt war. Das VG bat daher den EuGH um Klärung, ob diese mangelnde Erfüllung von Dokumentationspflichten zu einer unrechtmäßigen Verarbeitung und damit einer Unverwertbarkeit der fraglichen personenbezogenen Daten im Gerichtsverfahren führe.

Der EuGH geht in seiner Entscheidung der vom VG als zentral eingestuften Frage, ob eine Verletzung datenschutzrechtlicher Dokumentationspflichten als Verstoß gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zur Rechtswidrigkeit der Verarbeitung führt, aus dem Weg. Er beschränkt sich auf die Feststellung, dass ein fehlendes Verarbeitungsverzeichnis oder eine fehlende Vereinbarung gem. Art. 26 DS-GVO nicht gleichbedeutend sind mit dem Fehlen einer Rechtsgrundlage zur Verarbeitung (Art. 6 Abs. 1 DS-GVO). Für die Rechtmäßigkeit der Verarbeitung sei aber allein das Vorliegen einer Rechtsgrundlage entscheidend. Der Verarbeitung der von der Behörde übermittelten personenbezogenen Daten durch das Gericht stehe also ein fehlendes Verarbeitungsverzeichnis oder eine fehlende Vereinbarung gemäß Art. 26 DS-GVO nicht entgegen.

Die Entscheidung ist wegen ihrer klaren Trennung zwischen Anforderungen an die Rechtmäßigkeit der Datenverarbeitung einerseits und Vorgaben für die Organisation und Dokumentation anderseits zu begrüßen.  Sie dürfte, auch wenn der EuGH sich dazu nicht explizit äußert, auf die Verletzung anderer datenschutzrechtlicher „Begleitpflichten“, z. B. das Fehlen einer (ordnungsgemäßen) Datenschutzerklärung oder Datenschutz-Folgenabschätzung übertragbar sein. Das bedeutet selbstverständlich nicht, dass Unternehmen diese Dokumentations- und Organisationspflichten der DS-GVO ignorieren dürften. Jede Verletzung dieser Pflichten ist ein eigenständiger Datenschutzverstoß und als solcher mit einem empfindlichen Bußgeld bedroht.

2. EuGH zur Reichweite des Anspruchs auf Auskunft und Kopie

Im Ausgangsverfahren der zweiten EuGH-Entscheidung vom 4. Mai (C‑487/21) hatte die österreichische Kreditauskunftei CRIF einem Antragsteller Auskunft nach Art. 15 DS-GVO über die Verarbeitung seiner personenbezogenen Daten erteilt, dabei aber keine konkreten Dokumente wie E-Mails oder Datenbankauszüge offengelegt. Nachdem eine Beschwerde bei der österreichischen Datenschutzaufsichtsbehörde erfolglos geblieben war, klagte der Antragsteller. Das Gericht legte dem EuGH mehrere Fragen dazu vor, inwieweit sich der Auskunfts- und Kopieanspruch auch auf originalgetreue (Foto-)Kopien von Dokumenten und elektronischen Dateien bezieht.

Nachdem der EuGH zuletzt (C-154/21) die Auskunftspflicht von Unternehmen verschärft hatte (Beitrag vom 18. Januar 2023), äußerte er sich diesmal deutlich ambivalenter. In seiner Antwort auf die Vorlagefrage stellt der EuGH klar, dass es sich bei einer „Kopie“ um eine „originalgetreue und verständliche Reproduktion“ personenbezogener Daten handle. Des Weiteren geht er von einem weiten Auskunftsanspruch aus, der sich auch auf „Kopie[n] von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten“ erstrecken kann. Er macht dies allerdings davon abhängig, dass die Zurverfügungstellung dieser Auszüge für die „wirksame Ausübung“ der Rechte der betroffenen Person nach der DS-GVO „unerlässlich“ ist und Rechte und Freiheiten anderer dabei berücksichtigt werden. Daraus ist im Umkehrschluss zu folgern, dass ein Anspruch auf die Herausgabe von Dokumenten, E-Mails etc. nicht besteht, wenn es dem Anspruchsteller nicht um seine Datenschutzrechte nach der DS-GVO geht, sondern um ganz andere Ziele wie z. B. die Erlangung von Beweismitteln für einen arbeitsgerichtlichen Prozess. Da dem EuGH Urteil eine klare Aussage zu dieser Frage nicht zu entnehmen ist, bleibt aber abzuwarten, ob diese Konsequenz von den Fachgerichten auch tatsächlich gezogen wird.

3. EuGH zum datenschutzrechtlichen Schadensersatzanspruch

Schließlich äußerte sich der EuGH am 4. Mai 2023 in einem Verfahren (C-300/21), in dem ein österreichischer Rechtsanwalt Schadensersatz dafür verlangt hatte, dass die österreichische Post Daten über seine vermeintliche parteipolitische Neigung verarbeitet hatte. Das zuständige österreichische Gericht befand die Datenverarbeitung für rechtswidrig, legte dem EuGH allerdings mehrere Fragen dazu vor, unter welchen Voraussetzungen und nach welchen Maßstäben bei solchen rechtswidrigen Verarbeitungen ein (immaterieller) Schadensersatz zu gewähren ist.

In seiner Antwort stellt der EuGH zunächst fest, dass nicht jede rechtswidrige Verarbeitung automatisch zu einem (immateriellen) Schaden führt. Der Anspruchsteller müsse vielmehr konkret darlegen, dass und welchen (immateriellen) Schaden er infolge des Datenschutzverstoßes erlitten habe. Besondere Anforderungen an die Erheblichkeit des Schadens gebe es dabei nicht (keine „Erheblichkeitsschwelle“).

Damit dürfte sich der Streit beim Thema immaterieller Schadensersatz von der Erheblichkeit des Schadens hin zu der Frage verlagern, ob überhaupt ein Schaden vorliegt und nicht bloß ein – schadloser – Verstoß. Das Erfordernis der individuellen Schadensdarlegung dürfte in jedem Fall Massenklagen von einschlägig spezialisierten Kanzleien und Prozessfinanzierern erschweren, denen es im Rahmen ihrer weitgehend automatisierten Verfahrensführung naturgemäß schwerfällt, die Besonderheiten von Einzelfällen herauszuarbeiten. Trotzdem ist mit vermehrten Massenklagen auf immateriellen Schadensersatz zu rechnen, insbesondere wenn in Kürze das neue Instrument der Verbraucherverbandsklage zur Verfügung steht.

Keine klaren Vorgaben macht der EuGH zur Höhe von Ersatzansprüchen für immaterielle Schäden. Nur einem „Strafschadensersatz“ nach amerikanischem Vorbild erteilt er eine Absage und überlässt ansonsten die Bemessung des Schadensersatzes den nationalen Gerichten. Angesichts der traditionellen Zurückhaltung deutscher Gerichte bei der Zuerkennung von „Schmerzensgeld“ für Nicht-Vermögensschäden ist das für Unternehmen, die sich potentiellen Klagen in Deutschland ausgesetzt sehen, eine gute Nachricht.

Weiterleiten